Afwikkeling met extern onafhankelijk onderzoek
De kwestie gaat over een afwikkelingsregeling die door de Gemeenschappelijke Afwikkelingsraad op een Spaanse bank van toepassing werd verklaard. Dit is ingewikkelde financieelrechtelijk materie en die financiële aspecten laat ik even (dankbaar) voor wat ze zijn.
In het kader van de afwikkeling moet o.a. worden getoetst of de aandeelhouders en crediteuren beter af zouden zijn geweest indien een normale insolventieprocedure was gevolgd in plaats van de specifieke afwikkelingsprocedure (vrij vertaald: had men de bank failliet moeten laten gaan?). De betreffende aandeelhouders en crediteuren konden zich aanmelden om hierover gehoord te worden. Zij konden vervolgens hun opmerkingen kwijt in een online formulier.
In de procedure komen vele duizenden opmerkingen binnen. Het gros hiervan blijkt na eerste analyse identiek (dus kennelijk een standaardtekst). Na een eerste filtering op dergelijke doublures, relevantie en onderwerp blijven er uiteindelijk bijna 4000 relevante opmerkingen over. Ruim 1100 ervan gaan over de vraag of men nu beter af zou zijn geweest bij een normaal faillissement.
Die ruim 1100 opmerkingen worden met de externe accountant Deloitte gedeeld voor onafhankelijk extern advies. De opmerkingen zijn hierbij ontdaan van persoonsgegevens; er is nog slechts een unieke alfanumerieke code aan de opmerkingen gekoppeld. Deloitte beschikte niet over de sleutel om de alfanumerieke code te herleiden tot een persoon; die sleutel was slechts in handen van de financiële autoriteit.
Klachten betrokkenen: onvoldoende transparantie over delen persoonsgegevens
Enkele van de aandeelhouders en crediteuren melden zich bij de Europese privacytoezichthouder (de EDPS) met de klacht dat het vooraf onvoldoende duidelijk was gemaakt dat gegevens met o.a. Deloitte zouden worden gedeeld.
Privacytoezichthouder: onvoldoende transparant, maar geen handhaving
De klacht van de betrokkenen leidt uiteindelijk - na wat procedureel gedoe - tot het besluit van de EDPS dat er inderdaad onvoldoende transparantie is betracht. De EDPS is van mening dat de met Deloitte gedeelde gegevens kwalificeren als (gepseudonimiseerde) persoonsgegevens, dat Deloitte daar dus een 'ontvanger' van was en dat daarover dus transparantie had moeten worden betracht. Gelet op alle waarborgen die al waren getroffen zag de EDPS echter geen aanleiding om formeel handhavend op te treden.
Financiële autoriteit vecht het besluit aan
Hoewel er dus niet handhavend wordt opgetreden, vecht de Gemeenschappelijke Afwikkelingsraad het besluit van de EDPS wel aan. Deze (principe)kwestie belandt zo uiteindelijk voor het Gerecht van het Hof van Justitie.
Voor het Gerecht is de vraag of de GA wel in beroep kan, nu er niet handhavend is opgetreden. Het Gerecht stelt dat dit zo is, nu het besluit van de EDPS bindende rechtsgevolgen teweegbrengt. Nu de EDPS heeft vastgesteld dat de GA in strijd met de privacyregelgeving heeft gehandeld zou de GA immers aansprakelijk kunnen worden gehouden. Bovendien zou de EDPS in de toekomst bij een andere handhavingsactie deze eerdere schending tegen de GA kunnen gebruiken. Beide gronden maken dat het beroep van de GA gewoon ontvankelijk is.
Gerecht: onderbouwing vereist dat gegevens persoonsgegevens zijn
In de procedure is de kernvraag of er nu persoonsgegevens aan Deloitte verstrekt zijn of niet. Het antwoord op die vraag bepaalt immers of de GA nu wel of niet transparant is geweest over Deloitte als "ontvanger' van die gegevens.
Het Gerecht omarmt de interpretatie uit het Nowak-arrest over en stelt dat eerst wanneer de informatie wegens haar inhoud, doel of gevolg gelieerd is aan een bepaalde persoon er sprake is van een persoonsgegeven. De EDPS had niet getoetst of onderbouwd dat om die reden sprake was van persoonsgegevens, maar eenvoudigweg het standpunt ingenomen dat iedere mening een persoonsgegevens is:
70 In het herziene besluit heeft de EDPS de inhoud, het doel en het effect van de aan Deloitte doorgezonden informatie echter niet onderzocht.
71 Hij heeft namelijk slechts aangegeven dat de opmerkingen die de klagers tijdens de raadplegingsfase maakten hun meningen of standpunten weerspiegelden, en uitsluitend op grond daarvan geconcludeerd dat het hun betreffende informatie was, hetgeen volstond om ze als persoonsgegevens aan te merken.
72 Ter terechtzitting heeft de EDPS zijn standpunt bevestigd dat elke persoonlijke mening een persoonsgegeven is. Hij heeft ook erkend dat hij de inhoud van de opmerkingen die de klagers in de raadplegingsfase hebben gemaakt, niet heeft onderzocht.
Het Gerecht is vervolgens heel duidelijk: het is aan de toezichthouder om te onderzoeken of informatie daadwerkelijk wegens haar inhoud, doel of gevolg gelieerd is aan een bepaalde persoon. Dit kan niet worden gebaseerd op een vermoeden. De simpele redenering "het is een mening en dus een persoonsgegeven" volstaat dus niet. Dit had de EDPS niet nader onderbouwd en alleen al op dit punt faalt het besluit van de EDPS dus.
Gerecht: persoonsgegevens moeten identificeerbaar zijn voor verwerkende partij
Een tweede vraag is of de gegevens überhaupt identificeerbaar waren voor Deloitte.
De GA had erop gewezen dat de aan Deloitte verstrekte gegevens waren voorzien van een uniek alfanumeriek nummer en overigens waren ontdaan van identificerende kenmerken en dat Deloitte niet over de sleutel beschikte. De EPDS onderkende weliswaar dat het onder die omstandigheden voor Deloitte onmogelijk was de identiteit te herleiden, maar stelde tevens dat omdat de sleutel in handen was van de GA en dat de gegevens zodoende voor Deloitte toch als gepseudonimideerde persoonsgegevens moesten worden gezien.
Het Gerecht valt terug op het eerdere Breyer-arrest van het Hof van Justitie. In dat arrest is - in de kern - geoordeeld dat de vraag is of een partij beschikt over een middel dat redelijkerwijs kan worden ingezet om de betrokkene te identificeren. Dat is in ieder geval niet zo indien het een excessieve inspanning zou vergen of de identificatie bij wet verboden is.
Het Gerecht benadrukt vervolgens dat uit dat arrest dus volgt dat het vereist is om vanuit het perspectief van de verwerkende partij te beoordelen of sprake is van persoonsgegevens:
97 Uit het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), blijkt echter ook dat, om te bepalen of de gegevens die waren doorgezonden aan Deloitte persoonsgegevens vormden, het noodzakelijk is om zich in de positie van Deloitte te verplaatsen teneinde te bepalen of de aan haar doorgezonden informatie betrekking heeft op „identificeerbare personen”.
(...)
100 Overeenkomstig punt 44 van het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), aangehaald in punt 91 hierboven, stond het dus aan de EDPS om te onderzoeken of de aan Deloitte doorgezonden opmerkingen voor haar persoonsgegevens vormden.
De EDPS heeft echter enkel vanuit de positie van de GA getoetst of sprake is van persoonsgegevens. Het besluit is zodoende onvoldoende gemotiveerd.
Gerecht: besluit nietig
Het Gerecht verklaart het besluit van de EDPS dat de GA de privacywetgeving geschonden zou hebben dan ook nietig.
Slotopmerking
Het arrest is wat mij betreft een schoolvoorbeeld van de toepassing van het eerdere Breyer-arrest. De vraag voor toepasselijkheid van de privacywetgeving is niet of gegevens voor een partij (iemand) identificeerbaar zijn, maar of de gegevens voor een specifieke partij identificeerbaar zijn. Anders zou immers ook in de Breyer-kwestie al geoordeeld kunnen zijn dat ieder IP-adres altijd een persoonsgegevens is (hetgeen niet zo is).
Toch gaat dit in de praktijk vaak mis. In vele dossiers ontstaan ingewikkelde discussies over de omgang met gepseudonimiseerde of geanonimiseerde gegevens. Daarbij wordt dan vaak vergeten dat het perspectief van de verwerkende partij moet worden meegewogen. Het is prima denkbaar dat bijvoorbeeld in het kader van wetenschappelijk onderzoek persoonsgegevens worden gepseudonimiseerd en dat de partij waaraan de gegevens vervolgens worden verstrekt in het geheel niet met de privacywetgeving van doen heeft. Het kan dan niettemin verstandig zijn bepaalde afspraken te maken, alleen al over het verbod om gegevens terug te herleiden tot natuurlijk personen.
Er ontstaan bij dergelijke discussies ook al snel interessante grensgevallen. Wat te denken van de verstrekking van gepseudonimiseerde gegevens aan een buitenlands (bijv. Amerikaans) onderzoeksinstituut. Vanuit het perspectief van de verstrekker worden er persoonsgegevens naar buiten de EER gebracht, en zijn dus allerlei aanvullende waarborgen vereist. Vanuit het perspectief van de ontvanger worden er niet-herleidbare gegevens ontvangen en voelt het wat overtrokken om allerlei privacywaarborgen te treffen. Het zou de praktijk sieren als hier de materiele werkelijkheid het van de formele werkelijkheid wint en wat meer in de geest van de wet kan worden gehandeld, i.p.v. allerlei formaliteiten op te tuigen waarvan de vraag is wat de meerwaarde is (onder de aanname dat de gegevens werkelijk niet herleidbaar zijn uiteraard).
Een ander interessant punt in de kwestie is het expliciete oordeel dat het van belang is om ook besluiten aan te vechten waarbij geen sanctie is opgelegd. Zeker in het verleden zagen we dat besluiten van de Autoriteit Persoonsgegevens niet tot nauwelijks werden aangevochten. Het Gerecht geeft nu in feite aan dat dit niet verstandig is, nu daarmee de overtreding komt vast te staan en die 'overtreding' later tegen de partij kan worden gebruikt.
Verder valt op dat de GA in deze kwestie gebruik had gemaakt van allerlei algoritmen om de reacties te filteren en sorteren en dat de EDPS daar verder geen onderzoek naar doet. Er is immers allerlei maatschappelijke discussie gaan over het gebruik van algoritmen. Het lijkt erop - hoewel dat speculeren is - dat de EDPS ook wel begrijpt dat indien er bijna 24.000 opmerkingen binnenkomen, waarvan ongeveer 84% volstrekt identiek, dat het redelijkerwijs noodzakelijk is digitale middelen in te zetten om het werk enigszins behapbaar te houden. In die zin laten de nuchtere cijfers in deze kwestie ook wel zien dat zeker niet iedere inzet van algoritmen nu meteen zo "spannend" hoeft te zijn (anders dan sommige mediaberichten soms doen vermoeden).
Vragen? Opmerkingen?
Heeft u vragen over de omgang met persoonsgegevens? Over anonimiseren, pseudonimiseren, wetenschappelijk onderzoek of anderszins? Neem gerust contact op. Ook opmerkingen over deze blog zijn uiteraard welkom.
